论文总字数：20258字

目 录

1.绪论 1

1.1 本课题的研究背景和意义 1

1.2 国内外研究现状 1

1.3 本课题主要研究内容 1

1.4 论文内容和章节安排 1

2.PKI概述 3

2.1 PKI的含义 3

2.2 PKI的目标 3

2.3 PKI的研究内容 3

2.4 PKI的优势 3

2.5 PKI的发展 4

2.6 PKI的未来 4

3.PKI体系结构 5

3.1 PKI工作原理 5

3.2 PKI实体描述 5

3.3 证书中心（CA） 6

3.4 注册中心（RA） 6

3.5 目录服务 7

3.5.1 X.500目录服务标准 7

3.5.2 LDAP目录服务标准 7

3.6 终端实体（EE） 8

3.7 认证中心 8

3.8 信任模型 8

3.8.1 等级层次 8

3.8.2 对等模式 10

3.8.3 网桥模式 10

3.9 物理结构 12

4.PKI的实践与仿真 13

4.1 SSL/TSL 13

4.2 IPSec 16

4.3 IPSec基于PKI的应用—VPN 17

4.4代码签名 22

4.5 安全电子邮件 22

5.研究与展望 23

5.1 目前电子商务的安全性问题 23

5.2 安全问题对电子商务的影响： 23

5.3 CA的作用 23

5.4 密钥托管技术 26

5.5 第二代PKI技术 26

6.参考文献 28

致谢 30

PKI公钥基础设施理论框架与实践

徐敏皓

Abstract: The most important protection of network activities is security, the rapid development of the Internet, network security issues more and more people's attention. Internet transactions have also encountered such as hackers, spies, eavesdropping, tampering, forgery and other threats, a lot of confidential information transmission and control is also very difficult, transaction security can not be guaranteed, once threatened, it is difficult to determine the information received Whether it is issued by a certain entity or whether it has been illegally tampered with during the transmission of information. PKI technology is one of the main ways to solve the network security, I will be based on PKI technology, listed PKI architecture, PKI practice and application and PKI research future and outlook.

Key words:PKI , CA , LDAP , SSL

1.绪论

1.1 本课题的研究背景和意义

随着电子邮件、电子商务、网上银行以及资源发布等Internet和Intranet应用的发展，经常需要在开放网络中的不明身份实体之间进行通信，传输大量信息，其中包括一些重要数据。互联网在给我们带来便捷和快速的同时也带来了安全隐患，这些安全问题也阻碍着这些行业的发展。如何在传输的时候保证这些重要数据的安全对网络技术的进一步发展至关重要，这也是如今互联网进一步发展的一个热点研究。

1.2 国内外研究现状

在Internet电子商务开始兴起以后PKI被广泛关注。因为Internet已经成为通信和商务的最主要载体，商家必须对他们使用的互联网应用提出更高的安全性要求。PKI的产品和服务之所以得到广泛关注正是因为适应了这些安全要求，公开密钥体制和证书成为了各种Internet应用的认证和授权工具。

例如，传输层安全协议（TLS）是使用证书和公钥加密的手段来进行身份鉴别和协商建立安全通信渠道。这种在Web浏览上的技术已经开始被大众广泛应用，相似的应用还有很多：代码的数字签名，VPN，安全电子邮件等等。

目前使用PKI主要是通过两种方法，一是利用PKI产品和服务建立PKI系统；二是CA服务，通过第三方为用户提供的证书服务。

虽然国外很多公司已经研发出了PKI的相关产品，但是PKI市场还远未成熟，很多PKI的支持协议还未统一出台，PKI的发展还有很大的空间，国内很多互联网巨头也正在努力开发自己的PKI产品，相信在不久的将来具有互操作性的产品将会出现。

1.3 本课题主要研究内容

PKI理论基础，PKI体系结构，PKI的实践与仿真以及PKI的未来研究展望

1.4 论文内容和章节安排

本文针对PKI的基础理论架构和体系结构内的一些组成以及相关应用来研究PKI技术。

全文共分为五大章节。第一章为绪论部分，主要介绍本课题研究的意义和主要内容。第二章为PKI概述，主要介绍PKI的含义，目标和研究内容。第三章为PKI体系结构，其中包括9个小标题，主要内容是对PKI的工作原理，实体描述以及PKI体系结构内各部分的分析与研究。第四章是PKI的应用和提供的服务，虚拟网络VPN，安全电子邮件，IPSec综述等。第五章为总结与展望，是对本文的总结以及对一些仍旧存在的问题的展望。

2.PKI概述

2.1 PKI的含义

PKI"Public Key Infrastructure"也就是公钥基础设施。它是当前解决网络安全的主要方式。PKI技术选择了先进的技术，如公钥理论、密码学等，然后为广大的消费者实现信息安全服务，进而构造的一种基础设施，它是一种遵守规定标准的密钥管理平台，它的基础是加密技术，依靠的核心是证书CA，它的密钥管理和密钥分配可以给网络应用提供加密服务，数字签名服务和相关的密钥和证书管理体系。所以，能了解到PKI技术选择了先进的技术，如公钥理论、密码学等，然后为广大的消费者实现信息安全服务，进而构造的一种基础设施，它可以建立不同实体间的“信任”关系，是当前网络安全建设的中心和基础^[6]。

2.2 PKI的目标

PKI的目标充分运用先进的公钥密码学理论，然后进一步为网络应用实现良好的安全服务。接下来将介绍公开密钥密码，它可以帮助用户实现非对称性质，并且也能实现安全的数字签名，最后，更可以实现开放的签名验证。不过，它实施起来显得困难重重，体现在为：使得程序员能对公开密码的安全性做出有效的掌握，并且在实际运用中存在较大的困难性。PKI旨在帮助网络应用研发人员提供标准型的开发设施，可以提升其工作效率，同时可以给予齐全的服务来确保安全性能。

2.3 PKI的研究内容

以Internet为基础进行的各种商务活动中，涉及业务活动的双方能否以某种方式建立相互信任关系并确认相互的身份真实性是极为重要的。而PKI系统作为一个用于研究建立和管理这种相互信任关系的安全工具，它同时能满足数据处理、电子商务等应用的安全需求，又可以有效地解决网络应用中信息的保密性、真实性、完整性、不可否认性和访问控制等安全问题。

2.4 PKI的优势

以PKI系统的认证为中心，能够支持实体的验证，用户可以按照其签名私钥，通过本地亦或者远程的方式，对其身份做出实体认证。

因此，能有助于完成在复杂的网络环境中的身份鉴别。PKI能够支持可公开验证并无法仿冒的数字签名，签名和私钥可以用于数据来源认证，具有不可替代的优势，这种抗抵赖性在电子政务和电子商务应用方面有重要意义。PKI同时还具有极强的互联技术，并且该技术能够积极利用互联技术的积极作用，来填补网络世界出现的信任缺失。

2.5 PKI的发展

随着互联网的全球化发展，越来越多的人意识到了PKI的重要性，并且许多网络应用已经在使用PKI技术以保证网络的认证、非否认、加解密和密钥管理等。电子政务以及数据处理相应的行业中在不断加强PKI的产品的应用和服务，并且在各大领域被得意普及，如企业内部中的网络运用、数字签名、以及金融行业等。

2.6 PKI的未来

西方发达国家围绕PKI行业为基础，对其获得的成果同当前中国的实际情况相比较，可以得出该行业在今后能够发挥的空间为：

（1）渐趋于全球化。电子商务逐步朝着全球化的道路前景，加剧了我国经济直接和实际经济的往来步伐，我国应当积极推动CA中心与国际性的CA公司两者实现交叉认证，以便更好地顺应电子商务渐趋于全球化的实际需求。

（2）统一化趋势。我国的PKI建设必须统筹规划,由政府有关主管部门实行授权管理,在统一领导、统一规划、统一体制标准下进行发展和建设

（3）创新化趋势。在业务发展中,广泛联合社会各行业,充分发挥各地的积极性和互联网巨头公司的带头作用,采取从初级到高级,从简单到复杂、逐步扩大试验范围、稳步推进的策略。

（4）集中化趋势。目前建设的CA中心中都或多或少存在不少问题，都不尽完善，基本均存在局部性与追求性，加上小型规模、重复单一，根本不能适应社会服务过程中的不断变化的要求。一般而言，CA中心具备了对定的权威度，因此，在实际运作过程中需要确保科学性与规范性，还要用过强大额资金以及先进的技术做后盾，可以完全顺应全球化不断发展的大型CA中心潮流，以便更好地服务于社会^[8]。

所以，一个大型的符合国际标准的国际化CA的成立迫在眉睫。

3.PKI体系结构

3.1 PKI工作原理

PKI 即公钥基础设施。它往往采取公共密钥算法为渠道，积极构建证书体系，其中包含了发证、实时管理以及合理运用，以便更好地提供网络安全服务，集中体现于数据的维护、身份的认证等方面。

它采用的原理是：一个信心内容作出了加密处理，即形成密钥后，需要由与之适应的密钥来完成解密。公钥将密钥交给有着往来的通信者，但是，应当妥善保管好私钥，防止其出现安全问题。在实际运用时，A与B之间的数据传输与加密，可以采取B所属的公钥来实现对B的传输，然后B通过其私钥来加以解密操作。公钥借助证书的作用，能够和其持有者的名字、电子邮箱等进行捆绑，并且通过权威机构来进行CA认证，完成相应的证书发放与日常管理工作。对方接收到证书后，可就意味着得到了公钥。证书的存放地点可以是大众开放之处，以便他人收搜十分便利，并且实行可以下载。

剩余内容已隐藏，请支付后下载全文，论文总字数：20258字

相关图片展示：